K8s 安全是云安全的未来

news2024/12/24 11:41:37

导语

到 2025 年,保护 Kubernetes (K8s) 将被认为是云安全最重要的方面。 在最成功的组织中,CTO 和 CISO 已经意识到 Kubernetes 安全的重要性。 但是,虽然 Kubernetes 已经占 CTO 云支出的很大一部分,但 CISO 仍然有所落后。 大多数 CISO 仍然专注于零信任模型——但是,他们很快就会意识到他们在 Kubernetes 中运行 98% 的 PCI 监管工作负载,因此需要转变他们的想法。

6b7d0cb873bbb70560667b8f690c55bb.jpeg

为什么k8s安全如此重要

我们进入了 Kubernetes 的第八年。 IBM 报告说,他们最大的交易和增长最快的收入来自他们的托管 K8s 平台 OpenShift。 vSphere 和 ESXi 等一些“老派”虚拟化技术如今仍在广泛使用。 但它们达到了成熟度和采用率的水平,这让客户想知道,“我们还要使用什么?”

Kubernetes 现在也达到了这一点。 不专注于保护 Kubernetes 的传统 CISO 将被逐步淘汰,取而代之的是技术性更强、深入参与平台工程并参与 AppSec 的 CTO 式 CISO。 所谓的 DevOps 几乎 100% 由 Kubernetes 提供支持。 现代基础设施意味着 K8s 不再是一个行项目——它是至关重要的。 工作变动将在未来两年内到来。 很快,您将开始看到新来的 CISO,他们更多地采用类似于 CTO 的角度。 这位 CISO 技术性更强,更深入地参与平台工程和 AppSec——这意味着保护 DevOps,特别是保护 Kubernetes。

但为什么 CTO 们都全力投入 Kubernetes 呢? 除了安全性之外,它通常归结为开发人员的效率。 他们的业务需要更快地运送东西,并且他们以前做事的方式很糟糕,遗留系统堆叠在遗留系统上。 一切都只是花费了更长的时间——可靠性也受到了影响。 但 Kubernetes 是最终的重置。 CTO 知道他们可以使用他们拥有的每个应用程序并将其作为容器运行,因此可以让更小的团队处理更小的块。 因此,您没有繁琐的委员会投票流程,而是让一个小团队花两周时间做一件事情,然后自动发布。 CTO 知道客户希望功能在他们完成的那一刻就出来,而 K8s 的速度和效率意味着他们可以比竞争对手更快地移动。 CTO 明白,通过减少支出和投入更多的计算基础设施(并在平台方面用更少的资源做更多的事情),他们可以将平台团队整合到一个 API 中。

如何开始

k8s复杂的体系能力一直都让人头疼,K8s的安全也同样具有相当复杂性,其包含了非常多的方面,那么面对越来越重要的K8s安全,我们又改从何处开始入手呢?我们建议可以从以下的方面:

提升镜像安全

容器是由软件组成的,新的常见漏洞和暴露(CVE)经常被披露。 如果您没有定期扫描容器镜像中的漏洞,它们很可能存在于您的容器镜像和已部署的容器中。到 2021 年,40% 的组织受到镜像漏洞影响的工作负载不到 10%,而到 2022 年,这一比例仅为 12%。恶意行为者的一种常见攻击媒介是已知漏洞,因此识别和修复这些漏洞是 对 Kubernetes 工作负载安全很重要。

持续检查K8s配置安全

Kubernetes有着非常多的配置,但并不是所有的配置默认都是设置安全的,而往往默认情况下它是不安全的。 例如,默认情况下,某些 Linux 功能会为 Kubernetes 工作负载启用,即使这些工作负载不需要这些功能。 基准数据表明,组织并没有像以前那样限制这些能力。 2021 年,42% 的组织针对大多数工作负载关闭了这些功能。所以为了避免出现“99%的损失是由于1%的人为错误产生”的情况,我们建议持续的检查K8s的配置安全性,保证K8s在一个安全的环境下运行。

7d386d0bec91b38f18a28db5dfdc75b0.jpeg

最小化权限

最小化权限是一个非常熟悉的概念,但是往往大家做的并不好。例如允许以根用户身份运行,根据报告,许多工作负载都允许使用此功能。 到 2022 年,允许以 root 身份运行的工作负载数量有所增加。 分析显示,44% 的组织正在运行 71% 或更多的工作负载允许 root 访问,而 2021 年这一比例为 22%。这是具有非常大的潜在风险的,所以发现权限的问题,并且持续的实践最小化权限,可以显著的提升整个系统的安全性。

 启用 K8s 的 RBAC

6b8570428e2682d419cf3d02af955f5f.jpeg

RBAC 可以帮助您定义谁有权访问 Kubernetes API 以及他们拥有哪些权限。RBAC 通常在 Kubernetes 1.6 及更高版本(后来在一些托管的 Kubernetes 提供程序上)默认启用。因为 Kubernetes 结合了授权控制器,所以当您启用 RBAC 时,您还必须禁用旧的基于属性的访问控制 (ABAC)。

使用 RBAC 时,更喜欢特定于命名空间的权限而不是集群范围的权限。即使在调试时,也不要授予集群管理员权限。仅在您的特定情况需要时才允许访问更为安全。

提升可视化

a9aa50c625d214e52fd501fc9f6f7297.jpeg

K8s复杂性的一个突出体现就是太多的操作和内容是命令执行和配置管理,但是可视化程度不高,在安全的范畴内,一个重要原则是可见才能安全,所以在开始提升安全能力的时候,不妨同时考虑全面提升可视化能力。让安全问题以更好的形式展现,让管理人员可以快速的定位和发现安全隐患。

总结

现在是 CISO 像 CTO 一样思考的时候了。 由于他们负责终端安全、数据安全和合规性,因此 K8s 可能不是 CISO 的首要计划。 但到 2025 年,CISO 和 CTO 的目标将围绕业务优先级进行调整,以包括更安全的 DevOps——这需要更安全的 K8s。 更安全的 Kubernetes 需要工具通过实时评估和检测 Kubernetes 环境的问题来更轻松、更有效地保护容器化基础设施。

关于HummerRisk

HummerRisk 是开源的云原生安全平台,以非侵入的方式解决云原生的安全和治理问题。核心能力包括混合云的安全治理和云原生安全检测。

Github 地址:
https://github.com/HummerRisk/HummerRisk

Gitee 地址:
https://gitee.com/hummercloud/HummerRisk

44bda244ad3e5a01e0fbdd625f7481ef.jpeg

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/485124.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

基于web的课程重难点掌握情况分析系统

1.系统登录:系统登录是用户访问系统的路口,设计了系统登录界面,包括用户名、密码和验证码,然后对登录进来的用户判断身份信息,判断是管理员用户还是普通用户。 2.系统用户管理:不管是…

19.考虑柔性负荷的综合能源系统日前优化调度模型

说明书 MATLAB代码:考虑柔性负荷的综合能源系统日前优化调度模型 关键词:柔性负荷 需求响应 综合需求响应 日前优化调度 综合能源系统 参考文档:《考虑用户侧柔性负荷的社区综合能源系统日前优化调度》参考柔性负荷和基础模型部分&#xf…

脑电信号特征提取方法与应用

前言 脑电图(EEG)信号在理解与脑功能和脑相关疾病的电活动方面发挥着重要作用。典型的脑电信号分析流程如下:(1)数据采集;(2)数据预处理;(3)特征提取;(4)特征选择;(5)模型训练与分类;(6)性能评估。当信号分…

SpringClouid学习笔记(正在更新中...)

目录 SpringCloud1、微服务1.1、定义1.2、特性单体应用微服务应用 1.3、微服务架构演变(RPC)1.4、微服务解决方案 2、SpringCloud2.1、什么是SpringCloud官方定义DemoSpringCloud版本和SpringBoot版本选择 3、环境搭建环境说明构建方式开始构建 4、服务注…

全注解下的SpringIoc 续3-属性文件的使用

在Spring Boot中使用属性文件,可以采用默认的application.properties文件,也可以使用自定义的配置文件,下面让我们一起来看看这两个的使用。 使用默认的application.properties文件 这个配置文件是Spring Boot默认会加载的,所以…

自动抓取QQ好友列表?Windows UIA教你轻松实现

目录:导读 引言 选择Windows UIA框架进行自动化测试的原因 查找窗口 读取QQ软件的好友列表 结语 引言 每个使用QQ的人都有自己的好友列表,但是如果你想要查看所有好友信息,手动一个个点击会非常浪费时间。那么有没有什么快速获取好友列…

【openGauss实战12】表空间管理

📢📢📢📣📣📣 哈喽!大家好,我是【IT邦德】,江湖人称jeames007,10余年DBA及大数据工作经验 一位上进心十足的【大数据领域博主】!😜&am…

【总线】IIC学习笔记

【总线】IIC学习笔记 参考链接IIC总线介绍IIC总线时序1.空闲信号2. 启动信号与停止信号3.数据的有效性4.应答信号5.七位地址传输 IIC读写过程(AT24C02举例)IIC读过程IIC写过程 正点原子IIC驱动问题1、IIC停止信号问题2、IIC-AT24C02的器件地址发送的疑惑…

OJ搭建配置 功能速查手册

服务器配置 腾讯云 2H4G 5M 60GB 轻量应用服务器 承载大约 200~400人使用,经过压力测试,评测并发速度可满足130人左右的在线比赛。 系统镜像选 Ubuntu 22.04 LTS。 用户管理 一、批量导入(从方便管理角度建议以 学生姓名 作为 用户名 &am…

网络安全之黄金票据,白银票据

前言:今天来给大家讲讲黄金票据和白银票据Kerberos认证#金票Golden ticket# 原理#伪造金票的场景和所需条件#利用方式#银票SILVER TICKET# 原理#伪造银票所需条件#金票和银票的区别# 获取的权限不同#认证流程不同#加密方式不同# 前言:今天来给大家讲讲黄…

Unity 3D 学习笔记(1)

文章目录 1.Unity 3D 概述2.Unity的安装过程3.Unity 3D 的项目管理4.Unity 3D 中的场景5.Unity 3D 的界面组成 1.Unity 3D 概述 Unity 3D简介:Unity 3D是虚拟现实行业中使用率较高的一款开发引擎,由Unity Technology公司开发。通过Unity,开发…

手动实现 Spring 底层机制【初始化 IOC容器+依赖注入+BeanPostProcessor 机制+AOP】

目录 手动实现 Spring 底层机制【初始化 IOC容器依赖注入BeanPostProcessor 机制AOP】 前面我们实际上已经用代码简单实现了 代码演示使用框架 创建一个maven项目 创建UserAction类 创建UserDao类 创建UserService类 创建beans.xml 说明 创建AppMain类 运行效果 如图…

《汇编语言》- 读书笔记 - 第2章-寄存器

《汇编语言》- 读书笔记 - 第2章-寄存器 2.0 8086CPU 寄存器段地址:偏移地址 2.1 通用寄存器2.2 字在寄存器中的存储2.3 几条汇编指令表2.1汇编指令举例表2.2 程序段中指令的执行情况之一问题 2.1表2.3 程序段中指令的执行情况之二问题 2.2 2.4 物理地址2.5 16位结构的CPU2.6 8…

数据埋点1

文章目录 1 什么是数据埋点2 为什么需要数据埋点3 数据埋点能采集哪些用户数据4 数据埋点的分类及方式5 主流的数据上报技术5.1 客户端上报5.2 服务端获取 1 什么是数据埋点 互联网的海量数据是通过数据埋点技术采集用户行为数据而产生的,用户行为数据采集及上报流…

我又不当程序员还要学Python吗?人工智能AI的出现我知道,我错了

Python(可读音:派森) 时代要淘汰你,连招呼都不会打! 这句话近些年我们常在媒体上听到,有点残酷,但却又很现实。 最近,人工智能AI技术火爆全网,而且它所表现出来的“超…

浅谈Spring中的BeanFactory与FactoryBean

前言 理解FactoryBean是非常非常有必要的,因为在Spring中FactoryBean最为典型的一个应用就是用来创建AOP的代理对象,不仅如此,而且对理解Mybatis核心源码也非常有帮助!如果甘愿crud,做个快乐的码农,那我就哦…

Springcloud--docker快速入门

认识docker docker相关操作 1.初识Docker 1.1.什么是Docker 微服务虽然具备各种各样的优势,但服务的拆分通用给部署带来了很大的麻烦。 分布式系统中,依赖的组件非常多,不同组件之间部署时往往会产生一些冲突。在数百上千台服务中重复部署…

『Linux』第九讲:Linux多线程详解(三)_ 线程互斥 | 线程同步

「前言」文章是关于Linux多线程方面的知识,上一篇是 Linux多线程详解(二),今天这篇是 Linux多线程详解(三),内容大致是线程互斥与线程同步,讲解下面开始! 「归属专栏」Li…

剑指 Offer 54. 二叉搜索树的第k大节点【37】

难度等级:容易 上一篇算法: 226. 翻转二叉树【58】 力扣此题地址: 剑指 Offer 54. 二叉搜索树的第k大节点 - 力扣(Leetcode) 1.题目:剑指 Offer 54. 二叉搜索树的第k大节点 给定一棵二叉搜索树&#xff0c…

springboot第15集:MyBatis分页

我们在测试SQL的时候,要是能够在控制台输出 SQL 的话,是不是就能够有更快的排错效率? 是的,输出 SQL 可以帮助我们更好地理解代码的执行流程和结果。在控制台输出 SQL 可以让我们看到实际执行的 SQL 语句,这样就能够更…